Gleich sieben neue Patches gegen Sicherheitslecks veröffentlicht Microsoft im Security-Bulletin vom 15. Oktober 2003. Fünf davon werden als sehr kritisch eingestuft, zwei weitere als moderat. Redmond empfiehlt, die kritischen Patches bei den betreffenden Systemen sofort einzuspielen. (www.microsoft.com/technet) Im Bulletin MS03-041 werden Probleme im Authenticode beschrieben, die es unter bestimmten Umständen erlauben, ein ActiveX-Cotrol ohne Nachfrage herunter zu laden, zu installieren und auszuführen. Zwei Lecks verbergen sich in verschiedenen Versionen des Internet Explorer. Auf Windows NT 4.0, 2000 und XP sowie bei Windows 2003 Server kommt es beim Umgang mit ActiveX zu Fehlern, so dass ein Angreifer beliebige Programmcodes ohne Einverständnis des Users ausführen und weitreichende Kontrolle über den Rechner erlangen kann. Zudem kann im Windows Troubleshooter ActiveX Control ein Buffer Overflow erzeugt werden, der das Einschmuggeln von Codes ermöglicht (MS03-042).
Im Security Bulletin MS03-043 geht es um eine Lücke im "Messenger Service", die ebenfalls das Ausführen von Codes erlaubt. Betroffen sind die Systeme Windows NT, 2000, XP und Server 2003. Zwei weitere Sicherheitslücken befinden sich im Mail-Server Exchange. Davon betroffen sind die Versionen 5.5 und 2000. Hier lassen sich durch manipulierte SMTP-Befehle Abstürze hervorrufen. Eine Lücke im Exchange Server 5.5 Outlook Web Access ermöglicht das Ausführen von in HTML-Mails versteckten Codes (MS03-047). Die restlichen Bulletins beschreiben Probleme im Windows Help und Support Center (MS03-044) und im ComboBox Control (MS03-045), die jeweils einen Buffer Overrun erzeugen können. Alle Security Bulletins werden von Microsoft in einem Security Bullin Summary für den Monat Oktober zusammengefasst. Durch diesen monatlichen Patch-Rhythmus will man die von Microsoft CEO Steve Ballmer angekündigte neue Sicherheitsstrategie umsetzen. Fraglich bleibt, ob die Anwender durch eine solche Flut an Patches dazu animiert werden, die Updates auch einzuspielen. Quelle: PTE